Connecteur Bitsight Data Connector (à l’aide d’Azure Functions) pour Microsoft Sentinel
Le connecteur de données BitSight prend en charge la surveillance des cyber-risques basés sur des preuves en apportant des données BitSight dans Microsoft Sentinel.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Code d’application de fonction Azure | https://aka.ms/sentinel-BitSight-functionapp |
| Table(s) Log Analytics | Alerts_data_CL BitsightBreaches_data_CL BitsightCompany_details_CL BitsightCompany_rating_details_CL BitsightDiligence_historical_statistics_CL BitsightDiligence_statistics_CL BitsightFindings_data_CL BitsightFindings_summary_CL BitsightGraph_data_CL BitsightIndustrial_statistics_CL BitsightObservation_statistics_CL |
| Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Prise en charge de BitSight |
Exemples de requête
Événements d’alerte BitSight : événement d’alertes pour toutes les entreprises du portefeuille.
Alerts_data_CL
| sort by TimeGenerated desc
Événements de violation BitSight : événement de violation pour toutes les entreprises du portefeuille.
BitsightBreaches_data_CL
| sort by TimeGenerated desc
Événements de détails de l’entreprise BitSight : événement de détails de l’entreprise pour toutes les entreprises du portefeuille.
BitsightCompany_details_CL
| sort by TimeGenerated desc
Événements d’évaluation des entreprises BitSight : événement d’évaluation des entreprises pour toutes les entreprises.
BitsightCompany_rating_details_CL
| sort by TimeGenerated desc
Événements de statistiques historiques de diligence BitSigh : événement de statistiques historiques de diligence pour toutes les entreprises.
BitsightDiligence_historical_statistics_CL
| sort by TimeGenerated desc
Événements de statistiques de diligence BitSight : événement de statistiques de diligence pour toutes les entreprises.
BitsightDiligence_statistics_CL
| sort by TimeGenerated desc
Événements de résultats BitSight : événement de résultats pour toutes les entreprises.
BitsightFindings_data_CL
| sort by TimeGenerated desc
Événements de synthèse des résultats BitSight : événement de synthèse des résultats pour toutes les entreprises.
BitsightFindings_summary_CL
| sort by TimeGenerated desc
Événements de graphique BitSight : événement de graphique pour toutes les entreprises.
BitsightGraph_data_CL
| sort by TimeGenerated desc
Événements de statistiques industrielles BitSight : événement de statistiques industrielles pour toutes les entreprises.
BitsightIndustrial_statistics_CL
| sort by TimeGenerated desc
Événements de statistiques d’observation BitSight : événement de statistiques d’observation pour toutes les entreprises.
BitsightObservation_statistics_CL
| sort by TimeGenerated desc
Prérequis
Pour l’intégration à Bitsight Data Connector (à l’aide d’Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- Informations d’identification/autorisations de l’API REST : un jeton d’API BitSight est requis. Consultez la documentation pour en savoir plus sur l’API.
Instructions d’installation du fournisseur
Remarque
Ce connecteur utilise Azure Functions pour se connecter à l’API REST BitSight et extraire ses journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
ÉTAPE 1 : étapes pour créer/obtenir un jeton d’API Bitsight
Suivez ces instructions pour obtenir un jeton d’API BitSight.
- Pour l’application SPM : reportez-vous à l’onglet Préférences de l’utilisateur de votre page Compte, Accéder aux paramètres > Compte > Préférences de l’utilisateur > Jeton d’API.
- Pour l’application TPRM : reportez-vous à l’onglet Préférences de l’utilisateur de votre page Compte, Accéder aux paramètres > Compte > Préférences de l’utilisateur > Jeton d’API.
- Pour BitSight classique : accédez à votre page Compte, Accéder aux paramètres > Compte > Jeton d’API.
ÉTAPE 2 : étapes d’enregistrement d’une application pour une application dans Microsoft Entra ID
Cette intégration nécessite l’enregistrement de l’application dans le portail Microsoft Azure. Suivez les étapes de cette section pour créer une nouvelle application dans Microsoft Entra ID :
- Connectez-vous au portail Azure.
- Recherchez et sélectionnez Microsoft Entra ID.
- Sous Gérer, sélectionnez Inscriptions d’applications> Nouvelle inscription.
- Entrez un nom d’affichage pour votre application.
- Sélectionnez Inscrire pour procéder à l’inscription d’application initiale.
- Une fois l’inscription terminée, le portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Copiez l'ID d'application (client) et l'ID de locataire. L’ID client et l’ID de locataire sont des paramètres de configuration requis pour l’exécution de BitSight Data Connector.
Lien de référence :/azure/active-directory/develop/quickstart-register-app
ÉTAPE 3 : ajouter une clé secrète client pour l’application dans Microsoft Entra ID
Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution de BitSight Data Connector. Suivez les étapes de cette section pour créer une nouvelle clé secrète client :
- Dans Inscriptions d’applications du portail Azure, sélectionnez votre application.
- Sélectionnez Certificats et clés secrètes client > Clé secrète client > Nouvelle clé secrète client.
- Ajoutez une description pour votre clé secrète client.
- Sélectionnez un délai d’expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
- Sélectionnez Ajouter.
- Enregistrez la valeur du secret en prévision d’une utilisation dans le code de votre application cliente. Cette valeur secrète ne sera plus jamais affichée lorsque vous aurez quitté cette page. La valeur secrète est un paramètre de configuration requis pour l’exécution de BitSight Data Connector.
Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ÉTAPE 4 : attribuer le rôle de contributeur à l’application dans Microsoft Entra ID
Suivez les étapes décrites dans cette section pour attribuer le rôle :
- Dans le portail Microsoft Azure, accédez à Groupes de ressources, puis sélectionnez le groupe de ressources.
- Accédez au contrôle d’accès (IAM) dans le panneau de gauche.
- Cliquez sur Ajouter, puis sélectionnez Ajouter une attribution de rôle.
- Sélectionnez Contributeur comme rôle, puis cliquez sur Suivant.
- Dans Attribuer l’accès à, sélectionnez
User, group, or service principal. - Cliquez sur Ajouter des membres et tapez le nom de l’application que vous avez créé et sélectionnez-le.
- Cliquez maintenant sur Évaluer + attribuer, puis cliquez à nouveau sur Évaluer + attribuer.
Lien de référence :/azure/role-based-access-control/role-assignments-portal
ÉTAPE 5 : choisir UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée
IMPORTANT : avant de déployer le connecteur de données BitSight, il est recommandé d'avoir à portée de main l’ID de l’espace de travail et la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que le jeton d’API BitSight.
Option 1 : modèle Azure Resource Manager (ARM)
Utilisez cette méthode pour le déploiement automatisé du connecteur BitSight.
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.
Entrez les informations ci–dessous :
- Nom de la fonction
- ID de l’espace de travail
- Clé d'espace de travail
- API_token
- Sociétés
- Azure_Client_Id
- Azure_Client_Secret
- Azure_Tenant_Id
- Portfolio_Companies_Table_Name
- Alerts_Table_Name
- Breaches_Table_Name
- Company_Table_Name
- Company_Rating_Details_Table_Name
- Diligence_Historical_Statistics_Table_Name
- Diligence_Statistics_Table_Name
- Findings_Summary_Table_Name
- Findings_Table_Name
- Graph_Table_Name
- Industrial_Statistics_Table_Name
- Observation_Statistics_Table_Name
- Niveau du journal
- Planification
- Schedule_Portfolio
Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.
Cliquez sur Acheter pour déployer.
Option 2 - Déploiement manuel de fonctions Azure
Utilisez les instructions détaillées suivantes pour déployer manuellement le connecteur de données BitSight avec Azure Functions (déploiement via Visual Studio Code).
1. Déployer une application de fonction
REMARQUE : vous devrez préparer le code VS pour le développement d’une fonction Azure.
Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.
Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.
Sélectionnez le dossier de niveau supérieur depuis les fichiers extraits.
Choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur une application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure. Si vous êtes déjà connecté, passez à l’étape suivante.
Quand vous y êtes invité, indiquez les informations suivantes :
a. Sélectionner le dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.
b. Sélectionnez l’abonnement : choisissez l’abonnement à utiliser.
c. Sélectionnez Créer une application de fonction dans Azure (ne choisissez pas l’option Avancé).
d. Entrer un nom global unique pour l’application de fonction : tapez un nom valide dans un chemin d’URL. Le système vérifie que le nom que vous tapez est unique dans Azure Functions. (par exemple BitSightXXXXX).
e. Sélectionnez un runtime : choisissez Python 3.8 ou une version ultérieure.
f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts plus réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.
Le déploiement commence. Une notification s’affiche après que votre application de fonction a été créée et que le package de déploiement a été appliqué.
Accédez au Portail Azure pour la configuration de l’application de fonction.
2. Configurer l’application de fonction
- Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
- Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.
- Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs respectives (en respectant la casse) :
- ID de l’espace de travail
- Clé d'espace de travail
- API_token
- Sociétés
- Azure_Client_Id
- Azure_Client_Secret
- Azure_Tenant_Id
- Portfolio_Companies_Table_Name
- Alerts_Table_Name
- Breaches_Table_Name
- Company_Table_Name
- Company_Rating_Details_Table_Name
- Diligence_Historical_Statistics_Table_Name
- Diligence_Statistics_Table_Name
- Findings_Summary_Table_Name
- Findings_Table_Name
- Graph_Table_Name
- Industrial_Statistics_Table_Name
- Observation_Statistics_Table_Name
- Niveau du journal
- Planification
- Schedule_Portfolio
- Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour